國際
2016.12.27 04:07

【2016回顧】侵入尋常百姓家 掀起政經風暴-駭客升級的一年

文|謝樹寬

2016年《時代雜誌》選出的年度人物,第一名川普,第二名是希拉蕊,第三名則是駭客。

個資外洩、密碼遭竊、網路遭入侵這類駭客活動,自網際網路出現以來,就始終與它如影隨形。今年駭客的發展究竟有何特別之處?照時代雜誌的說法,在2016年駭客活動的規模和範圍似乎又進入新的層級,它真正的重點不在竊取資料有多少價值和商業利益,而是在於製造了易受害和不確定感成了常態,甚至連民主體制也因此動盪。

就像過去西方大航海時代的來臨,因應海盜的方法也要全面翻新。從今年駭客活動的規模之大和範圍之廣,2017年或許是企業和政府組織的改變之年,才能保障數位環境裡頭用戶們的基本權利。

2016時代風雲人物 駭客上榜

臉書的馬克祖克伯格、谷歌的桑達爾皮柴、推特的傑克多西,這幾位世界最頂尖科技公司主管在2016年有什麼共同點?答案是:他們的帳號都被駭了。

儘管川普當選美國總統已成定局,俄羅斯駭客試圖影響美國大選仍持續成為美國媒體的頭條標題。駭客捲入政治風暴、癱瘓金融機構、竊取個人隱私的新聞,這一年來猶如不斷輪番上陣的跑馬燈。

駭客入侵了美國的司法部、國稅局、甚至國家安全局。他們偷走或試圖偷走Adult FriendFinder、LinkedIn、和Yahoo的數據賣給私人公司。他們還洩露網壇明星威廉絲姊妹、明星運動員拜爾斯(Simone Biles)的醫療紀錄,散布喜劇演員萊斯里瓊斯的私人照片,還發現祖克伯格的帳號密碼竟是用「dadada」這樣簡單的字串。把2016年稱之為駭客之年並不為過。

駭客入侵無所不在: 我們不安的日常

駭客的攻擊古已有之,於今尤烈。

時代雜誌提到今年駭客之所以登上風雲榜,一個是它「高調」的特質,另一個是它入侵範圍與對象的廣泛,已經成為我們的日常,像是今年十月份針對網路域名商Dyn的攻擊,就造成從Netflix、臉書、推特,到媒體如衛報、CNN、紐約時報、華爾街日報的大癱瘓。我們每天使用的連網裝置,像是webcam或數位攝影機,如今都可能是駭客隨意出入的所在。

這種駭客入侵的「日常性」,連帶造成我們使用者的「易受害」(vulnerability )和「不確定感」(uncertainty)。底下就是2016年幾個牽連範圍廣泛的駭客事件:

一、雅虎的十五億受「駭」者

Yahoo遭駭客入侵,影響帳戶超過十億。(畫面取自東方IC)

幾個月之前,雅虎公司透露在2014年有五億用戶遭駭客入侵。不過,災難卻沒有就此告一段落。12月14日,它再度宣布發生2013年也發生資料外洩,總共有十億個(!)帳號遭人侵入。

不管你用的是雅虎的電子郵件、Flickr、甚至是你的ISP(一些英國的ISP把它們的郵件服務外包給了雅虎),都可能受到侵入。嫌犯到底是誰目前還沒有人知道,唯一知道的是我們該變更密碼了。

二、駭客如影隨形的美國大選

俄羅斯駭客是否影響了這次的美國總統大選?(畫面取自東方IC)

駭客差一點(甚至已經)讓美國的民主政治腦震盪。民主黨全國委員會和希拉蕊的電子郵件外洩風波成了川普推特的主旋律之一。而歐巴馬政府和美國中情局則強烈懷疑俄羅斯高層在幕後主使的駭客試圖「干擾」美國大選的結果。也讓川普未上台就和中情局出現互槓的場面。

這個星期又有消息指出,可能是希拉蕊競選團隊主席波德斯塔的幕僚不慎開啟了惡意郵件才讓駭客有機可乘。不過隨著川普就職在即,許多問題也許已沒機會得到解答。

三、勒索軟體成爲網路的新「流行病」

勒索贖金軟體2016年出現多種變種。(畫面取自 Flickr@N07/31229519675/ user Christiaan Colen)

勒索軟體(ransomeware)今年似乎是豐收年。在今年這個惡意病毒出現了大量的變種,資安專家稱呼它已是網路的「流行病」。這個病毒典型方式是入侵系統、將檔案加密、然後勒索比特幣贖金。今年出現了好幾起著名的例子,從醫院、教會、大學、都一些公司企業都出現電腦遭攻擊的案例。其中,好萊塢長老教會醫學中心遭勒索,電腦檔案被駭客加密無法運作,被迫支付了相當於17000美元的比特幣贖金。

四、孟加拉央行網路驚天竊案

孟加拉央行遭駭客盜走8100萬美元(圖為孟加拉首都達卡的央行大樓外觀,東方IC)

今年二月一群至今來路不明的駭客偷走了孟加拉央行8100萬美元的存款。他們原本的目標是十億美元。但幸好其它九億多美元在過程中被中止追回。作案者在孟加拉央行的電腦中植入了惡意程式。

一些國家的央行似乎已成了大規模網路犯罪者的目標。上個月英國超市TESCO所經營的銀行被駭客入侵,導致九千名客戶約250萬英鎊遭竊。而在十二月初,俄羅斯央行也遭人竊走1900萬美元。針對SWIFT(環球金融電信協會)的駭客攻擊如今已經屢見不鮮。SWIFT是全球銀行業用來交換交易電文的產業組織,負責維護跨國銀行交易的標準制定和相關軟體系統的開發和銷售。

駭客升級 個人對企業與國家的不對稱戰爭

2016年,國家間網絡攻擊的演化是最值得矚目的一件事。
《網戰將至》(There Will Be Cyberwar)作者史迪能(Richard Stiennon)

在時代雜誌的專題介紹中,提到駭客一詞往往給人負面的印象,他們似乎是面目模糊但技巧非凡的智慧型罪犯。

不過,這群人卻也是矽谷精神的代言者,它們創造性的破壞者(disruptor),不惜任何手段,以創意克服技術的缺點。連祖克伯克也曾經在臉書公開募股時,哀嘆人們對駭客「不公平的負面貶抑」。

不過這些破壞性的創新者,也是既有秩序的顛覆者。駭客透過的數位技能,可能光憑一己之力就可以挑戰政府、企業這類龐大的系統性組織。

資訊安全專家,《網戰將至》一書的作者史迪能說:「至少從2004年和驟雨事件(Titan Rain,自2003年起,一系列針對美國政府、軍火商、科學研究室的電腦進行攻擊的行動。普遍認為這些攻擊是源自中國)以來,網路間諜就一直是駭客和情報部門的重要工具,不過從美國民主黨全國委員會和波德斯塔(希拉蕊競選團隊主席)洩漏出來的電郵資料卻是嶄新且令人害怕的。」

因此,他也認為在2017年新的一年裡,人們應該學習的重要功課,是要先找到是誰在發動這些攻擊,以及政府組織和企業該花多大功夫來改善資安的保護。否則金融犯罪和令人尷尬的「網路揭私」(doxing,也就是透過網路上的資源來搜集或追查出某些個人的資料,並把竊取的文件公開,或可稱為駭客的肉搜法)恐怕會一再出現。

參考資料:

How 2016 became the year of the hack — and what it means for the future (衛報) 2016 Person of the Year (時代雜誌) Hacked in 2016: The Year Hacking Went Mainstream (Paste Magazine)